吉井です。本日、個人情報保護法三年ごと見直しの中間整理案が公表されましたが(URL)、必要があって、読みやすいように「考え方」だけ抜粋したものを作成しましたので、貼っておきます。パブコメで意見を出す人はご参照ください。今回はある意味、いろいろと意見の出し甲斐があると思います。
なお、中間整理前に出ていた論点のうち、代替可能性がないサービスの話は、「不適正な利用の禁止」「適正な取得」の規律の明確化に溶け込んでいます。
要保護性の高い個人情報の取扱いについて(生体データ)
生体データについて、実効性のある規律を設ける検討をする必要がある。生体データの利用目的の特定に関しては、どのようなサービスやプロジェクトに利用するかを含めたうえで特定することを求めること、本人による事後的な利用停止を他の保有個人データ以上に柔軟に可能にすることが考えられる。
「不適正な利用の禁止」「適正な取得」の規律の明確化
事業者による予測可能性を高める観点から適用される範囲等の具体化・類型化を図る必要がある。また、個人情報取扱事業者と本人との関係により、本人に自律的な意思による選択を行うことが期待できない場合があり得、その場合に、当然認められるべき利用目的以外で個人情報を取得利用することや、当然認められるべき利用目的の達成に真に必要な範囲を越えて個人情報を取得利用することなどについて、不正取得や不適正利用等の規律をどのように適用すべきか検討する必要がある。個人関連情報については、プライバシー侵害の蓋然性が高い場合について、不正取得や不適正利用への対応の在り方を検討する必要がある。
第三者提供規制の在り方(オプトアウト等)
オプトアウト届出事業者に一定の場合に、提供先の利用目的や身元等を特に確認する義務を課すことについて検討する必要がある。確認義務の要件についての検討や、住宅地図等を広く市販する場合など規律の在り方についても検討が必要である。また、取得元における取得の経緯や取得元の身元等の確認について、一定の場合には取得元の身元や取得の適法性を示す資料等を特に確認する義務を課す等、より高度の注意義務を課すことが考えられる。さらに、本人のオプトアウト権行使の実効性を高めるための措置を検討する必要がある。
こどもの個人情報等に関する規律の在り方
現行法上、原則として本人同意の取得が必要とされている場面において、こどもを本人とする個人情報について、法定代理人の同意を取得すべきことを法令の規定上明確化することを検討する必要がある。こどもを本人とする保有個人データについては、他の保有個人データ以上に柔軟に事後的な利用停止を認めることについて検討する必要がある。ただし、取得について法定代理人の同意を得ている場合等、一定の場合においてはその例外とすることも考えられる。こどもの個人データについて安全管理措置義務を強化することがあり得る。こどもの最善の利益を優先し特別な配慮を行うべき等、事業者等が留意すべき責務を定める規定を設けることも検討する必要がある。対象とするこどもの年齢については、Q&A の記載や GDPR の規定の例などを踏まえ、16 歳未満とすることについて検討を行う。
個人の権利救済手段の在り方
適格消費者団体による差止請求制度については、法に違反する不当な行為を対象行為とすることを検討すべき。その際、員会の監視・監督機能を補完する機能、専門性の確保、端緒情報等の共有・立証等における考慮、報告、監督窓口の一本化、資金を含む団体への援助が実効的な運用のために検討されるべき。被害回復制度は、極端な少額大量被害事案となること、立証上の問題があることが課題と考えられることから、更に慎重な検討が必要。
課徴金制度
課徴金制度の導入は、関係団体からのヒアリングで強い反対意見が示されていることに加え、我が国の他法令における導入事例や国際的動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、その導入の必要性を含めて検討する必要がある。導入する必要があると考えられる場合には、対象となる違法行為類型、算定方法、最低額の設定、一定の要件を満たした場合の課徴金の加減算等などを検討する必要がある。
勧告・命令の在り方
個人情報取扱事業者等による違反行為により個人の権利利益の侵害が差し迫っている場合に直ちに中止命令を出すことの必要性や、法に違反する取扱いを行う事事業者等のみならず、これに関与する第三者に対しても行政上の措置をとる必要性、ほかに個人の権利利益の保護に向けた措置を求めることの必要性の有無や手続保障など、その法制上の課題等について検討すべき。
刑事罰の在り方
悪質事案の類型が様々であることを踏まえ、法の直罰規定がこれらの事案を過不足なく対象としているかを検証し、その処罰範囲について検討するとともに、法定刑の適切性についても検討する必要がある。
さらに、個人情報の詐取等の不正取得が多数発生している状況を踏まえ、こうした行為を直罰規定の対象に含めるべきかについても検討する必要がある。
漏えい等報告・本人通知の在り方
漏えい等報告について、例えば、体制・手順について認定個人情報保護団体などの第三者の確認を受けることを前提として、速報については、一定の範囲でこれを免除し、さらに漏えいした個人データに係る本人の数が1名であるご交付・ご送付案件のようなケースについては確報について一定期間ごとの取りまとめ報告を許容することも考えられる。「おそれ」要件については、具体的な当てはめについては、現実の事例に応じて精査する必要がある。事業者の協力も得ながら、実態を明らかにした上で検討を行い、必要となる要件の明確化を行うことが必要である。違法な第三者提供について、漏えい等との違いの有無も踏まえ、報告・本人通知の必要性や報告等の対象となる範囲を検討する必要がある。
本人同意を要しないデータ利活用等の在り方
法で本人同意が求められる規定の在り方について、個人の権利利益の保護とデータ利活用とのバランスを考慮し、その整備を検討する必要がある。この場合においては、単に利活用の促進の観点から例外事由を認めるのは適当ではなく、本人の権利利益が適切に保護されることを担保することが必要である。生成 AI などの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについて、既存の例外規定では対応が困難と考えられるものがある。これらの技術やサービスについては、社会的なニーズの高まりや、公益性の程度を踏まえて、例外規定を設けるための検討が必要である。この際、「いかなる技術・サービスに高い公益性が認められるか」について、極めて多様な価値判断を踏まえた上で高度な意思決定が必要になる。個人の権利利益の保護とデータ利活用の双方の観点から多様な価値判断が想定されるものであり、関係府省庁も含めた検討や意思決定が必要と考えられる。医療機関等における研究活動等に係る利活用のニーズについても、公益性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方について検討する必要がある。事業者の実情等も踏まえつつ、関係府省庁の関与を得ながら、ガイドラインの記載等についてステークホルダーと透明性のある形で議論する場の設定に向けて検討する必要がある。
PIA・個人データの取扱いに関する責任者
PIA については、民間における自主的な取組という現状の枠組みを維持しつつ、その取組を一層促進させるための方策について、PIA の出発点となり得るデータ マッピングを活用していくことを含め、検討を進める必要がある。個人データの取扱いに関する責任者に関しては、現行の通則ガイドライン等で定める「組織体制の整備」を超えた措置の必要性について検討を進めるべきである。資格要件の要否、設置を求める対象事業者の範囲等によりその効果が変わってくると考えられるところ、各企業の現状も踏まえ、現実的な方向性を検討する必要がある。
その他
以下は引き続き検討
・プロファイリング(本人に関する行動・関心等の情報を分析する 処理)
・個人情報等に関する概念の整理
・プライバシー強化技術(「PETs」:Privacy Enhancing Technologies)の位置づけの整理
・金融機関の海外送金時における送金者への情報提供義務の在り方
・ゲノムデータに関する規律の在り方
・委員会から行政機関等への各種事例等の情報提供の充実
1.はじめに
本年6月7日、ステルスマーケティング告示における違反行為に該当するということで初摘発があったとの報道がありました(※1)。措置命令の内容については、消費者庁のウェブサイトに詳しいですが(※2)、インフルエンザワクチン接種のために来た患者に対し、インフルワクチン接種費用を割り引くことを条件に、Googleマップ上のクリニックのプロフィールにおける口コミ投稿欄に星5または星4の投稿をすることを求めた事案のようです。
同クリニックのGoogleマップ上の口コミを確認してみましたが、かなりの口コミが投稿され、低評価の投稿も多いようで、上記のステマが行われて総合評価が3.0であることを考えると、クリニック自身、低評価の口コミに相当に悩んでいたということがあったのかもしれません。
2.ステマ告示概要
それはさておき、令和5年10月1日から、令和5年3月28日内閣府告示第19号(いわゆるステマ告示)が施行され、ステルスマーケティングは景品表示法違反となっています。なお、ステルスマーケティング規制の概要については、昨年8月25日の当事務所オンラインセミナー「景品表示法におけるステルスマーケティング規制と企業での対応について」にてお話ししておりました。
同告示上、ステルスマーケティングとして景表法違反となる表示は、「事業者が自己の供給する商品又は役務の取引について行う表示であって、一般消費者が当該表示であることを判別することが困難であると認められるもの 」とされていますが、その解釈に関しては、「一般消費者が事業者の表示であることを判別することが困難である表示」の運用基準(※3)において記載されています。
報道されている事案の場合、問題となるものとしては、「事業者が第三者をして行わせる表示」への該当性、すなわち、「事業者が第三者の表示内容の決定に関与している場合」にあたるかどうかということになります。まず、この事案では、運用基準でいう「事業者が第三者に対して当該第三者のSNS(ソーシャルネットワーキング サービス)上や口コミサイト上等に自らの商品又は役務に係る表示をさせる場合」にストレートに当たります。もっとも、第三者の樹異種的な意思による表示内容と認められる場合には除外されますが、それは、表示内容の依頼・指示、対価提供関係など、事業者が表示内容を決定できる程度の関係性があるか否かにより判断されることになります。
3.本件事案との関係
なお、本事案では、星4といった具体的な依頼があったケースですが、明示的な依頼・指示がなくても、「事業者と第三者との間に事業者が第三者の表示内容を決定できる程度の関係性があり、客観的な状況に基づき、第三者の表示内容について、 事業者と第三者との間に第三者の自主的な意思による表示内容とは認められない 関係性がある場合」には、これも事業者の表示とされます。
このように、本事案のような具体的な依頼がない場合であっても、告示違反となり得、告示違反の範囲は想像より広いことが多いため、ご注意いただければと存じます。
また、本件のような第三者に依頼して高評価を投稿する場合だけでなく、従業員や業者に依頼して高評価をつける行為、ライバル業者の口コミに、自社のサービスと比較した低評価をつけさせる行為なども違反となります。
4.ランチセミナー[PR]
6/26の光雲法律事務所ランチセミナーでは、こちらの内容を分かりやすく説明する予定です。ご関心ある方々は是非ご参加ください。
※1 時事ドットコム「ステマで初の行政処分 医療法人、マップに星依頼―消費者庁」等
※2 消費者庁「医療法人社団祐真会に対する景品表示法に基づく措置命令について」
※3 消費者庁「一般消費者が事業者の表示であることを判別することが困難である表示」の運用基準
1.クラウド例外について
昨年起こった社労士用サービス「社労夢」での個人データ(簡単に言うと個人情報を含むデータベースの中にある個人情報)の取扱いについて、昨日個人情報保護委員会が行政条の対応についてのプレスリリースを出しました(リンク先)。
これとあわせ、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について」(以下、単に「注意喚起」といいます。)を個人情報保護委員会はプレスリリースしています(リンク先)。
これは従前、クラウド例外と言われる取扱いについての説明を行ったものですが、これにより、ウェブサービス側、ユーザ側が受ける影響も大きいように思われますので、若干見ていきたいと思います。
まず、クラウド例外は、クラウドサービス提供事業者において個人データを取り扱わないこととなっている場合に、クラウドサービスでの個人データの利用が第三者提供にも委託にも当たらないとする個人情報保護委員会に置ける個人情報保護法の解釈・運用です(個人情報保護法Q&A Q7-53参照)。
ここで、取り扱わないとはどういう場合かというと、(1)契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、(2)適切にアクセス制御を行っている場合等とされていました。
2.注意喚起について
今回の注意喚起では、まず、社労夢の案件に関し、(i)利用規約上、特定の場合に利用者の個人データを提供事業者が使用等できるようになっていた(上記(1)関係)、(ii)提供事業者が保守用IDを保有し、個人データにアクセス可能な状態にあり、技術的なアクセス制御等の措置が講じられていなかった(上記(2)関係)、(iii)提供事業者が利用者と確認書を取り交わしたうえで、実際に利用者の個人データを取り扱っていた(上記(2)関係)ことを理由に、本件がクラウド例外に当たらないことを述べています。
社労夢の案件での特殊性としては、(iii)が大きいように思われますが、(i)や(ii)については、多かれ少なかれいわゆるクラウドといわれるウェブサービスで行っていることが多いように思われますが、どの程度になれば取り扱うことになるのか、(iii)という本件特有の事情がどこまで考慮されているかが注意喚起では読み込むことができません。ついては、現状では、クラウドの利用に関しては、その大半が両方の可能性があることを念頭に対応せざるを得ないことになると思われます。
なお、注意喚起では、クラウド利用が委託に当たる場合に、委託先事業者に対する監督の一内容として当該クラウドサービスの安全性の確認を委託先に対して行う必要があることや、業務委託を受けている者がクラウドを利用した場合にそれが再委託となる可能性があり、その場合、委託元による法違反となり得ることなどが指摘されています。
3.報告書の影響について
委託にあたるか否かは、以下のような形で影響を与えます。
・クラウド事業者が外国にある場合に、ユーザが、個人データの本人に対して、提供に対する同意を得る必要があるかどうか(個人情報保護法28条1項)
・受託者がクラウドを使っている場合に、委託者側で、受託者によるクラウド利用やクラウドの委託該当性、クラウドの安全性について確認する必要が生ずるかどうか
・ある事業での受託者がクラウドの利用を行っている場合であって、委託者と受託者との契約上再委託が禁止されている場合に、業務委託契約上の契約違反となるかどうか
・ユーザとして、クラウドの利用を自身の安全管理措置の中で対応すべきか、委託先の監督の中で対応すべきか
ユーザからすると、クラウドが委託にあるか否かは、特に(2)の要件に関して判別が難しい場合が多く、両面をにらんでの対応を迫られることとなり、クラウドの利用を躊躇する動きにもつながりかねないことを危惧しております。個人情報保護委員会における対応が望まれるところです。
金融商品取引法第二条に規定する定義に関する内閣府令の一部を改正する内閣府令(案)(定義府令改正案)のパブリックコメントが終了しました(金融庁ウェブサイト)。こちらは、今後、所要の手続を経て交付、施行の予定です。
この定義府令改正案は、いわゆる合同会社型のDAO(※1)の勧誘を一定の条件を満たすものについて、行いやすくするものです(※2)。
条件としての2号イロの内容は以下のとおりです。
イ 当該財産的価値を業務を執行する社員以外の者に取得させ、又は移転することができないようにする技術的措置がとられていること
ロ 当該財産的価値に表示される権利を有するものがその出資又は拠出の額を超えて収益の配当又は業務に係る財産の分配を受けることがないこと
これを受けて、金融商品取引法等ガイドライン案(金融庁ウェブサイト)では、ロに関し、いくつか留意点を記載しています。すなわち、
・ 社員権に付帯して物品やサービスその他経済的に評価できるものを提供することにより実質的に出資額を超える収益の配当又は財産の分配を行うような場合はロを満たさない。
・ 社員権トークンとは別のトークン(別トークン)を発行する場合に、実体として別トークンがロの「収益の配当又は業務に係る財産の分配」に当たり、ロを満たさないことがある。(※3)
とされています。
この改正により上記イロを満たす場合に社員権たるトークンの勧誘を行うことができることとなり、DAOを組成する自由度が飛躍的に高まることが予想されます。
ただ、イロを満たしさえすれば合同会社型DAOでの勧誘がいかなる場合でも金商法上問題とならないというわけではなく、ガイドライン案ではその点にも言及しています。すなわち、
・「別トークン」に合同会社等に係る収益の配当又は財産の分配を受ける権利が付帯されている場合には、「別トークン」それ自体が集団投資スキーム持分に該当する可能性がある。
・トークン化された合同会社等の社員権につき値上がり益が生じる合理的な根拠がないにも関わらず値上がり益があることを殊更に協調して勧誘行為を行う場合は金商法第157条(不正行為の禁止)又は第158条(風説の流布、偽計等の禁止)の違反となり得る
ということです。
いずれにせよ、合名会社型DAOの発行を自身の判断のみで進めることは危険であり、立ち上げる前の専門家への相談は必須となると思われます。
※1 DAO(Decentralized Autonomous Organization、分散型自立組織)は、経営者による中央集権的な運営とは異なり、各メンバーに意思決定が委ねられ、自律的に運営される組織で、EthereumのDAOのサイトでは、共通の目的のために集団が共同で所有し、ブロックチェーンで管理された組織とされています(EthereumDAOウェブサイト)。DAOでは、運営方針の決定にガバナンストークンによる投票で行われ、投票されたトークン量に基づいて多数決で決定されます。
※2 具体的には、合名会社若しくは合資会社の社員権(政令で定めるものに限る。)又は合同会社の社員権が財産的価値に表示される場合で、その財産的価値が同令2号イロの要件を満たす場合に、電子記録移転権利から除き、かつ、金融商品取引業となる募集又は私募に係る有価証券から除くものです。
※3 ロを満たす例として、
・ 合同会社等の社員の地位と明確に区別されて発行される場合(「別トークン」の対価の支払が合同会社等の社員としての出資とは明確に区別されている場合等)
・ 職務執行の対価として発行される場合(職務執行の対価としての実態を伴うものであり、その発行される「別トークン」の内容が出資額又は事業収益に連動しない場合に限る。)
・ 社員以外の者も広く購入できる場合であって、社員と同じ条件で発行される場合
ロを満たさない例として、「別トークン」に合同会社等に係る収益の配当又は財産の分配を受ける権利が付帯されている場合にあっては、実態としてその収益の配当又は財産の分配がトークン化された合同会社等の社員権に係る収益の配当又は財産の分配に該当するのであれば、その収益の配当又は財産の分配を含め、出資額を超える収益の配当又は財産の分配を行う場合
昨年11月、NTT西日本子会社より、900万件超の顧客情報流出がありました。福岡県でも、同社にコールセンター業務を委託していたことから、自動車税の納税者情報合計16万2828人分が流出しており、大きな影響がありました(読売新聞記事)。なお、流出させた元派遣社員(以下、「流出者」といいます。)は、不正競争防止法(営業秘密の領得、開示)で起訴されています(東京新聞記事)
先月28日、この事件に関し、親会社であるNTT西日本に設置された第三者委員会より、調査報告書がリリースされました(調査報告書)。この報告書は、283頁に及ぶ詳細なものですが、ここでは、同種事案発生時に参考となる内容に絞って、同報告書を簡単に解説します。
1.事案の概要
コールセンタシステムのデータセンタを運営していた会社(NTTBS)のシステムの運営保守業務に従事していた流出者が、その立場を悪用し、少なくとも2013年7月頃から2023年2月頃にかけて約10年間、多数回にわたり顧客情報(コールセンタ業務を運営するNTTProCXのデータ)を不正に外部に持ち出し。その少なくとも一部は名簿業者に売却。
2.本件の原因
本件の直接的な原因としては、NTTBSに、顧客データの流出を防ぐための各種の制限が備わっていなかったことがありますが、長期化した要因としてログ監視が働いていなかったことが挙げられます。また、人的な要因として、流出者が長年サーバ管理の中心となり、上長等の監視や同僚の監視等が働いておらず、同人に依存する状況が長年固定化されていたことが挙げられます。
そして、以上の問題を生み出した根本的な原因としては、NTT西日本グループの統一的な基準としての情報セキュリティマネジメント規程や下位規程等があったものの、それが機能しておらず、自主点検が形骸化していたことなどのガバナンスの欠如が挙げられています。
また、NTTProCXに関しても、情報セキュリティマネジメント規程の下位規程において行うべきとされていた委託先管理を遵守せず、何もしていないに等しい状況にあったとし、それは、個人情報の取扱いを委託するにあたっての規律が実務的に実装されていなかったこと、漏えいに対する危機意識が乏しかったことなどによるとされています。また、NTTBSと同じく、自主点検が機能していないことが指摘されています。
3.経営陣の責任
報告書では、NTTBSに関しては、経営レベルでの解決を要する事項が多数あり、全社的問題であるにもかかわらず、1年間にわたり発見することができなかったことについて、経営陣にその責任が帰せられるべき問題と断言し、経営陣にはリスクマネジメントに対する基本的な理解やこれを実際の経営に適用する能力が欠けていたとさえ言われています。
なお、本件を受けて、2月29日、親会社であるNTT西日本の社長が3月末日で引責辞任すると報道されています(ITmedia記事)。
4.私見
漏えいが生じた当該会社だけでなく、グループのトップ企業の役員の辞任にまで発展したことは、本件の事態の重大さを物語っていると言えますが、やはり、特筆すべきは、10年に渡り、不正がなされ続け、それが是正されることがなかったということではないでしょうか(69件という影響を受けたクライアント数、件数も相当ですが、親会社の役員の辞任にまで発展するのは稀有であると思われます)。
また、本件の特徴として、同じような漏えい事件として有名なベネッセ事件と比べても、外部記録媒体等への書き込み制限が全くなされていないなど、よりひどい状況にあったように思われ、なによりそれが、本来従うべき規程が機能しなかったことによりもたらされたものであることが挙げられると思われます。
さらに、こうしたインシデントが発生する際、往々にして、一人の人間に権限が集中する、管理を依存するという体制が出てくるものですが(類例として、ファーストサーバ事件(ITmedia記事))、本件も、そのような属人的な管理と監督監視が動いていなかったことが大きかったのだと思います。
これらは対岸の火ではなく、ほこりがかぶった規程が運用されずにそのままになっている例、定期的な点検が形骸化し、機械的に〇を記載するだけになっている例、システムの管理を一人のの人間に依存している例等は巷にあふれていると思われ、その末路が本件です。
この報告書は、再発防止策、とくに、ガバナンスの改善や組織文化の変革に関しては様々な企業に読んでいただく意味のあるものと存じますが、上述のような本件の原因を踏まえ、各自で自社に当てはめて振り返る意味で、283頁とかなり分厚い資料ですが、経営者の方、情報システム、情報セキュリティ部門の方には、原因の説明部分だけでも一度お読みいただく価値がある資料と思われます。
